对于Docker示例可以执行的任何操作,Docker主机是否得到了完全保护?只要不向Docker示例公开卷,是否有其他方法可以实际连接到主机并“破解”它?例如,假设我允许客户在我运行的服务器内部运行代码,我想了解允许客户在Docker示例内部运行任意代码的潜在安全影响。
avwztpqn1#
Docker中的所有进程都与主机隔离。默认情况下,它们不能看到或干扰其他进程。这是由Docker使用的进程命名空间保证的。只要您不装载重要的内容(例如:docker.sock)加载到容器上,因此不存在与运行容器相关联的安全风险,甚至不存在与允许在容器内执行代码相关联的安全风险。有关docker中安全功能的列表,请检查Docker security。
docker.sock
c90pui9n2#
内核在主机和Docker容器之间共享,这比虚拟机的分离程度要小。运行任何不受信任的容器都是不安全的。存在内核漏洞,可以被滥用,也有方法突破容器。这就是最佳实践的原因,例如,在容器中不使用root用户,或者为容器使用单独的用户名称空间。
2条答案
按热度按时间avwztpqn1#
Docker中的所有进程都与主机隔离。默认情况下,它们不能看到或干扰其他进程。这是由Docker使用的进程命名空间保证的。
只要您不装载重要的内容(例如:
docker.sock)加载到容器上,因此不存在与运行容器相关联的安全风险,甚至不存在与允许在容器内执行代码相关联的安全风险。有关docker中安全功能的列表,请检查Docker security。
c90pui9n2#
内核在主机和Docker容器之间共享,这比虚拟机的分离程度要小。
运行任何不受信任的容器都是不安全的。存在内核漏洞,可以被滥用,也有方法突破容器。
这就是最佳实践的原因,例如,在容器中不使用root用户,或者为容器使用单独的用户名称空间。